Nastavitev povezave VPN v Linuxu. Konfiguriranje povezave VPN v Linuxu Vodič za konfiguriranje strežnikov vpn v ubuntuju

Okrajšave VPN zdaj ni slišati razen tistih, ki še nikoli niso imeli opravka z računalnikom. Kaj je to, zakaj je potrebno in kako ga sami nastaviti?

Kaj je VPN in zakaj je potreben?

VPN (Virtual Private Network) je navidezno zasebno omrežje, način združevanja več računalnikov, ki so fizično oddaljeni drug od drugega, v eno logično omrežje.

VPN-je lahko uporabljate za različne namene – od organiziranja omrežja za delo/igre do dostopa do interneta. Pri tem morate razumeti morebitno pravno odgovornost za svoja dejanja.

V Rusiji uporaba VPN ni kaznivo dejanje, razen v primerih uporabe za namerno nezakonite namene. Se pravi, če želite obiskati spletno stran predsednika sosednje države (recimo Somalije) in napisati, kako slab je, medtem ko skrivate svoj IP naslov, to samo po sebi ni kršitev (pod pogojem, da je vsebina izjava ne krši zakonov) ... Vendar je uporaba te tehnologije za dostop do virov, prepovedanih v Rusiji, kaznivo.

To pomeni, da se lahko igrate s prijatelji prek omrežja in delate na daljavo v omrežju organizacije z uporabo VPN, vendar ne morete brati vseh vrst slabih spletnih mest. S tem urejeno. Zdaj pa pojdimo neposredno na nastavitev.

Nastavitev strani strežnika na Ubuntu Linux

Za strežniško stran je bolje uporabiti Linux, v zvezi s tem je lažje delati z njim. Najenostavnejša možnost je PPTP, ne zahteva namestitve potrdil na odjemalske računalnike, se izvede avtentikacija z uporabniškim imenom in geslom... ga bomo uporabili.

Najprej namestite potrebne pakete:

Sudo nano /etc/pptpd.conf

Če potrebujemo več kot 100 hkratnih povezav, poiščite parameter "connections", ga razkomentirajte in določite želeno vrednost, na primer:

Povezave 200

Če moramo pošiljati oddajne pakete prek navideznega omrežja, moramo zagotoviti, da je tudi parameter bcrelay brez komentarja:

Bcrelay eth1

Po tem pojdite na konec datoteke in dodajte nastavitve naslova:

Localip 10.10.10.1 remoteip 10.10.10.2-254 poslušaj 11.22.33.44

Prvi parameter določa naslov IP strežnika v lokalnem omrežju, drugi določa obseg naslovov IP, izdanih odjemalcem (obseg mora zagotavljati možnost določenega števila povezav, bolje je dodeliti naslove z robom) , tretji določa, na katerem zunanjem naslovu naj poslušajo vmesnike za prejemanje dohodnih povezav. To pomeni, da če obstaja več zunanjih naslovov, je mogoče poslušati samo enega. Če tretji parameter ni podan, bodo poslušani vsi razpoložljivi zunanji naslovi.

Shranite datoteko in zaprite. V datoteki / etc / ppp / pptpd-options določimo dodatne nastavitve za fino nastavitev:

Sudo nano / etc / ppp / pptpd-možnosti

Najprej poskrbimo, da imamo nepokomentirane vrstice, ki prepovedujejo uporabo starih in nevarnih metod preverjanja pristnosti:

Refuse-pap odbijaj-chap odbijaj-mschap

Preverimo tudi, ali je možnost proxyarp omogočena (ustrezna vrstica je bila okommentirana) in dodatno, da omogočimo ali prepovemo več povezav enega uporabnika, komentiramo (omogočimo) ali dekommentiramo (onemogočimo) možnost zaklepanja.

Prav tako shranimo datoteko in jo zapremo. Ostaja še ustvariti uporabnike:

Sudo nano / etc / ppp / chap-secrets

Vsakemu uporabniku VPN je dodeljena ena vrstica, v kateri so zaporedno označeni njegovo ime, oddaljeni naslov, geslo in lokalni naslov (ločilo - presledek).

Oddaljeni naslov je mogoče določiti, če ima uporabnik zunanji statični IP in bo uporabljen samo ta, v nasprotnem primeru je bolje določiti zvezdico, da lahko natančno sprejmete povezavo. Lokalno morate podati, če želite, da se uporabniku dodeli isti naslov IP v navideznem omrežju. Na primer:

Uporabnik1 * geslo1 * uporabnik2 11.22.33.44 geslo2 * uporabnik3 * geslo3 10.10.10.10

Za uporabnika1 bodo povezave sprejete s katerega koli zunanjega naslova, lokalnemu bo dodeljen prvi razpoložljivi naslov. Za uporabnika2 bo dodelil prvi razpoložljivi lokalni naslov, vendar bodo povezave sprejete šele od 22.11.33.44. Za uporabnika3 so povezave sprejete od koder koli, vendar bo lokalni naslov vedno dodeljen 10.10.10.10, ki smo ga rezervirali zanj.

S tem je konfiguracija strežnika VPN končana, znova ga zaženite (pod Linuxom vam ni treba znova zagnati računalnika):

Ponovni zagon storitve Sudo pptpd

Konfiguriranje odjemalcev VPN

Odjemalski del je mogoče konfigurirati za kateri koli operacijski sistem, uporabil ga bom kot primer Ubuntu Linux 16.04.

Na odjemalskem računalniku odprite omrežne povezave (posnetki zaslona prikazujejo za Ubuntu + Cinnamon, za GNOME je to storjeno na enak način, v Kubuntuju je videti, da ne bo povzročalo težav). Kliknite gumb "Dodaj" in izberite povezavo PPTP:

Ime povezave VPN lahko pustite kot standardno ali pa ga določite tako, da vam je priročno in razumljivo - to je stvar okusa. V polje »gateway« vnesite zunanji IP-naslov strežnika, na katerega se povezujemo (določen pri nastavitvi v možnosti »poslušaj«), pod imenom in geslom. Na desni strani morate v polju »Geslo« najprej izbrati možnost »Shrani geslo za tega uporabnika«):

Po tem zaprite okna in se povežite s strežnikom. Če je strežnik zunaj vašega lokalnega omrežja, potrebujete dostop do interneta.

S tem je organizacija navideznega omrežja zaključena, vendar bo računalnike povezala le v lokalno omrežje. Za dostop do interneta prek omrežnega strežnika morate narediti še eno nastavitev.

Nastavitev dostopa do interneta prek VPN

Na strežniku vpn vnesite naslednje ukaze:

Iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.1/24 -j MASQUERADE iptables -A NAPREJ -s 10.10.10.1/24 -j ACCEPT iptables -A NAPREJ -d 10.10.

kjer je 10.10.10.1/24 naslov lokalnega strežnika in omrežna maska.

Po tem shranimo spremembe, tako da delujejo tudi po ponovnem zagonu strežnika:

Iptables-shrani

In uporabite vse spremembe:

Iptables-uporabi

Po tem boste imeli dostop do interneta. Če obiščete katero koli spletno mesto, ki prikazuje vaš naslov IP, boste videli naslov zunanjega strežnika, ne vašega (če se ne ujemata).

Opozarjam vas, da ste samo vi odgovorni za posledice svojih dejanj.

Konfiguriranje z Network Managerjem "a

Karkoli že je bilo, a še vedno opišite nastavitev vpn z upraviteljem omrežja "a. Ta nastavitev je zelo primerna za tiste, ki uporabljajo samodejno pridobivanje naslova IP z uporabo DHCP v svoji povezavi z omrežjem.

1. Namestite dva paketa, ki ju potrebujemo:
# apt-get install pptp-linux network-manager-pptp
Ker teh paketov privzeto ni na disku ubuntu in je treba vpn pogosto konfigurirati na stroju, ki nima več druge internetne povezave, vam svetujem, da se s temi paketi vnaprej založite iz uradnega skladišča. Če želite to narediti, pojdite na spletno mesto packages.ubuntu.com/, tam poiščite ta dva paketa, ju prenesite in nato namestite na računalnik, ki ga potrebujemo.
2. Če se element Povezave VPN ne prikaže v programčku Network Manager ali se ne odpre, se morate znova prijaviti ali še bolje - znova zagnati.
3. Pritisnite levi gumb miške (desni gumb prikaže drug meni) na ikono Network Manager "in v spustnem meniju izberite" VPN povezave "-" Configure VPN ". Dodajte novo povezavo in nastavite vse potrebne možnosti za to povezavo...
4. Po tem bi se morala vaša povezava pojaviti v meniju "VPN povezave", če se nenadoma ne prikaže - ponovno se prijavite ali ponovno zaženite (no, kaj lahko storim, še vedno ta surovi upravitelj omrežja).
5. Vsak se lahko zdaj poveže s povezavo VPN, ki ste jo ustvarili (pa tudi prekinete povezavo z izbiro menijske točke v Network Managerju "e).

# apt-get install pptp-linux

Kot sem že opisal zgoraj v razdelku za namestitev z omrežnim upraviteljem "a, je treba vpn pogosto konfigurirati na napravi, ki nima več druge internetne povezave, zato vam svetujem, da se s tem paketom vnaprej založite iz paketov uradnega skladišča .ubuntu.com/.

2. Uredite datoteko options.pptp:
#nano /etc/ppp/options.pptp

lock noauth nobsdcomp nodeflate vztrajati

Ne bom opisoval vsakega od parametrov, opisal bom le nekaj:
vztrajati - ta parameter poskuša znova odpreti povezavo, ko je zaprta;
nodeflate - ne uporabljajte stiskanja deflate (čeprav pravijo, da z njim deluje hitreje, ne vem - nisem ga preizkusil).
Če vaša povezava uporablja šifriranje, dodajte eno od vrstic, odvisno od vrste šifriranja - require-mschap-v2, require-mppe-40, require-mppe-128, require-mppe.

3. Ustvarite datoteko povezave / etc / ppp / peers / vpn (ime vpn lahko zamenjate s katerim koli drugim, če pa ga spremenite, ga ne pozabite spremeniti še v tem članku)

#nano / etc / ppp / peers / vpn

Tam vstavimo naslednje vrstice:
maxfail 0 lcp-echo-interval 60 lcp-echo-failure 4 defaultroute pty "pptp vpn.ava.net.ua --nolaunchpppd" ime sukochev oddaljeno ime PPTP + chap datoteka /etc/ppp/options.pptp ipparam vpn

Pozor!!! Ne pozabite zamenjati naslednjih možnosti s svojimi:
Namesto vpn.ava.net.ua vnesite naslov svojega strežnika vpn (lahko uporabite IP strežnika). Namesto sukochev vnesite svojo prijavo.
Opisal bom nekaj parametrov:
maxfail 0 - vedno se poskusite povezati, če ni povezave;
lcp-echo-interval - časovni interval, po katerem se pokliče oddaljena stran;
lcp-echo-failure - število neodgovorjenih zahtev z oddaljene strani, po katerih sistem meni, da smo onemogočeni;
defaultroute - nastavite privzeto pot;
+ chap - vrsta preverjanja pristnosti. Poleg + chap je mogoče uporabiti tudi tip + pap.
datoteka - preberite dodatne nastavitve iz navedene datoteke.
Po potrebi lahko dodate tudi naslednje parametre:
deflate 15,15 - uporabite stiskanje deflate (v datoteki options.pptp ne sme biti parametra nodeflate);
mtu - največja velikost poslanega paketa (ta parameter se običajno spremeni, ko je povezava pogosto prekinjena ali se nekatera mesta ne odprejo);
mru je največja velikost prejetega paketa.

4. Uredite datoteko / etc / ppp / chap-secrets (če je uporabljena vrsta preverjanja pristnosti PAP, potem / etc / ppp / pap-secrets)

#nano / etc / ppp / chap-secrets

Tam vstavimo vrstico, na primer:

Sukochev PPTP geslo *

Pozor!!! Zamenjajte sukochev z vašim uporabniškim imenom in geslom z geslom za povezavo.
5. Po potrebi dodajte potrebne poti v datoteko / etc / network / interfaces. Moje poti so na primer registrirane, tako da, ko je povezava vpn vklopljena, lahko uporabljam lokalno lokalno omrežje. Tukaj je primer mojih poti (tistih, ki se začnejo s potjo navzgor), za vas se bodo seveda razlikovale:

Auto eth1 iface eth1 inet dhcp up route add -net 10.1.0.0 netmask 255.255.0.0 gw 10.1.45.1 dev eth1 up route add -net 10.3.0.0 netmask 255.255.0.1 gw4.

Ne pozabite znova zagnati omrežnih povezav po spremembi datoteke / etc / network / interfaces:

# / etc / init.d / ponovni zagon omrežja

6. Zdaj lahko omogočite in onemogočite povezavo VPN z naslednjimi ukazi:
Vklopiti

Ugasniti

Samodejna povezava VPN ob zagonu sistema

Če želite to narediti, uredite datoteko / etc / network / interfaces
#nano / etc / network / vmesniki

In vstavite naslednje vrstice na konec datoteke:
auto ppp0 iface ppp0 inet ppp ponudnik vpn pre-up ip link set eth1 up route del default up route dodaj privzeti dev ppp0

Kjer je eth1 vmesnik omrežne naprave, prek katere je povezana vpn povezava, vpn pa je ime povezave vpn, ki ste jo ustvarili v mapi / etc / ppp / peers /.

Ali želite imeti varen in varen dostop do interneta s pametnega telefona ali prenosnika, medtem ko se povezujete z nezavarovanim omrežjem prek WiFi hotela ali kavarne? Navidezno zasebno omrežje (VPN) vam omogoča uporabo nezavarovanih omrežij, kot če bi bili v zasebnem omrežju. Ves vaš promet v tem primeru gre skozi strežnik VPN.

V kombinaciji z uporabo povezave HTTPS vam bodo spodaj opisane nastavitve omogočile zaščito vaših zasebnih podatkov, na primer prijav in gesel, pa tudi vaših nakupov. Poleg tega lahko zaobidete regionalne omejitve in cenzuro ter skrijete svojo lokacijo in nešifriran promet HTTP pred nezavarovanim omrežjem.

Profil lahko prenesete iz računalnika v telefon tako, da napravo Android povežete z računalnikom prek USB-ja in kopirate datoteko. Datoteko profila lahko premaknete tudi s kartico SD, tako da kopirate profil na kartico in kartico vstavite v napravo Android.

Zaženite aplikacijo OpenVPN in kliknite meni, da uvozite profil.

Sestavljen

Pritisnite gumb, da vzpostavite povezavo. Povežite se... Vprašali vas bodo, ali zaupate aplikaciji OpenVPN. Odgovori v redu vzpostaviti povezavo. Če želite prekiniti povezavo, pojdite v aplikacijo OpenVPN in izberite Prekini povezavo.

13. korak. Preizkus povezave VPN

Ko je vse nameščeno in konfigurirano, se prepričajmo, da vse deluje pravilno. Brez vzpostavitve povezave VPN odprite brskalnik in pojdite na DNSLeakTest.

To spletno mesto bo vrnilo naslov IP, ki vam ga je dodelil vaš ponudnik internetnih storitev. Če želite preveriti, kateri strežniki DNS so v uporabi, kliknite na Razširjeni preizkus.

Zdaj vzpostavite povezavo s svojim odjemalcem VPN in osvežite stran v brskalniku. IP naslov, ki ste ga prejeli, mora biti popolnoma drugačen. Zdaj uporabljate ta novi naslov IP za vse v internetu. Kliknite na Razširjeni preizkus znova preverite svoje nastavitve DNS in se prepričajte, da zdaj uporabljate strežnik DNS svojega VPN-ja.

Korak 14. Preklic potrdil odjemalca

Občasno boste morda morali preklicati potrdilo odjemalca, da preprečite dostop do strežnika VPN in

Če želite to narediti, pojdite v imenik certifikacijskega organa in vnesite ukaze:

• cd ~ / openvpn-ca
• vir vars

• ./revoke-full client3

Izhod tega ukaza se bo končal z napako 23. To je normalno. Posledično bo v imeniku ključev ustvarjena datoteka crl.pem z informacijami, potrebnimi za preklic potrdila.

Premaknite to datoteko v imenik / etc / openvpn:

• sudo cp ~ / openvpn-ca / keys / crl.pem / etc / openvpn

• sudo nano /etc/openvpn/server.conf

Dodajte crl-verify na konec datoteke. Strežnik OpenVPN bo preveril CRL vsakič, ko se nekdo poveže s strežnikom.

/etc/openvpn/server.conf

Crl-preveri crl.pem

Shranite in zaprite datoteko.

Znova zaženite OpenVPN, da dokončate postopek preklica potrdila:

• sudo systemctl ponovni zagon [email protected]

Zdaj odjemalec ne bo mogel vzpostaviti povezave s strežnikom OpenVPN s starim potrdilom.

Če želite preklicati dodatna potrdila, sledite tem korakom:

Ustvarite nov seznam preklica z uporabo ukaza source vars v imeniku ~ / openvpn-ca in izvedete ukaz preklice polno z imenom odjemalca.

Kopirajte novi CRL v / etc / openvpn in prepišete stari CRL.

Znova zaženite storitev OpenVPN.

Ta postopek lahko uporabite za preklic vseh potrdil, ki ste jih predhodno ustvarili.

Zaključek

Čestitam! Zdaj lahko varno dostopate do interneta, ves vaš promet je zaščiten pred prisluškovanjem cenzorjem in vsiljivcem.

Ponovite korake za konfiguracijo dodatnih odjemalcev 6 in 11-13 za vsako novo napravo. Če želite preklicati dostop za določeno stranko, uporabite korak 14 .

Včasih morate pridobiti oddaljeni dostop do omrežja podjetja, ustvariti predor med strežniki ali omogočiti dostop do interneta dobremu sosedu, ki je bil zaradi dolga prekinjen z omrežjem, in morda lahko preprosto dostopate do svojega omrežja od koder koli v svet, kjer je internet.

Za te namene lahko uporabite navidezna zasebna omrežja (Virtual Private Network - VPN). V našem primeru bo to najpogostejši protokol v državah CIS, in sicer PPTP (Point-to-Point Tunneling Protocol). Številni ponudniki kabelskega interneta ga uporabljajo za zagotavljanje storitev dostopa do interneta.

Zagon in delovanje vašega strežnika na Linux Ubuntu Server LTS ni tako težko. Za to potrebujemo dostop do interneta in pravi IP (če se moramo povezati iz interneta).

Pojdimo na strežnik z uporabo korenskega računa in namestimo potrebne pakete z ukazom apt-get install pptpd Ponudili bomo tudi namestitev paketa bcrelay, ki vam omogoča podvajanje oddajnih paketov, prejetih na dohodnem vmesniku, v virtualni (odjemalec PPP). predori).

Pritisnite enter in naš strežnik je nameščen. Začnimo s konfiguracijo. Odprimo datoteko nano /etс/pptpd.conf in na samem dnu bomo videli naslednje vrstice

#localip 192.168.0.1
#remoteip 192.168.0.234-238,192.168.0.245
# oz
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245

To so nastavitve naslova IP odjemalca. Odkomentirajmo prvi dve vrstici (odstranimo simbol #) in ju malo popravimo.

Vrstica localip 192.168.0.1 pomeni, da bo naš strežnik VPN imel IP 192.168.0.1, naš IP lahko določite v enem od neposredno povezanih omrežij. Na primer, v mojem domačem omrežju ima strežnik IP naslov - 172.30.2.1 Da ne bi po nepotrebnem nalagal strežnika, sem ga uporabil.

Druga vrstica - remoteip 192.168.0.234-238,192.168.0.245 določa obseg naslovov IP, ki bodo dodeljeni odjemalcem. Kot lahko vidite iz teh vrstic, je omrežni naslov lahko karkoli (v drugi skupini vrstic). Zaradi udobja ga bomo izbrali iz istega obsega kot IP našega strežnika.

Doma uporabljam naslednjo logiko izdaje IP-ja: 1. - usmerjevalnik, 2-19 - računalniki, 20-49 - statični VPN (pri povezovanju se izda isti naslov), 50-100 - odjemalci VPN, 101-199 - Wi- Fi odjemalci , 200-254 - za različne naprave (na primer IP usmerjevalnik, TV itd.). Določimo območje remoteip 172.30.2.50-100 in shranimo konfiguracijo.

Pojdimo v imenik cd / etс / ppp /, kjer so shranjene vse konfiguracijske datoteke pptpd (strežnik) in pppd (odjemalec).

Preimenujmo datoteko pptpd-options z ukazom mv pptpd-options pptpd-options.bak in jo ustvarimo z novimi nano pptpd-options na desetine vrstic s komentarji. V to novo datoteko prilepimo naslednjo vsebino:

ime pptpd
zavrni-pap
zavrni-chap
zavrniti-mschap
Zahtevaj-mschap-v2
# Zahtevaj-mppe-128
ms-dns 172.30.2.1
nodefaultoute
zaklepanje
nobsdcomp
prist
logfile /var/log/pptpd.log

Kaj vse to pomeni? Gremo po vrsti:

• Uporabite pptpd ime za iskanje chap-secrets prijav
• S to možnostjo se pptpd ne bo strinjal s preverjanjem pristnosti z uporabo protokola Ref-pap, Reject-chap, Reject-mschap
• Zahtevajte istovrstno preverjanje pristnosti z uporabo MS-CHAPv2
• Zahtevaj uporabo MPPE s 128-bitnim šifriranjem require-mppe-128 tj. šifrirajte ves promet. S tem se poveča obremenitev strežnika in tega ne podpirajo vse "šibke" naprave (Wi-Fi usmerjevalniki ipd.).
• Predlagajte uporabo strežnika DNS z IP 172.30.2.1
• nodefaultroute - ne nastavljajte privzetega prehoda od strežnika do odjemalca, sicer bo ves promet v internet poslan prek povezanega odjemalca, internet pa bo tudi prekinjen zaradi izgube poti do ponudnika.
• Zakleni - blokiraj seje, t.j. iz ene prijave je lahko samo ena povezava
• nobsdcomp - Ne stiskaj prometa. Ko je omogočeno, poveča obremenitev našega strežnika
• auth - zahteva avtorizacijo (prijava in geslo)
• logfile /var/log/pptpd.log - zapisujte dnevnike operacij v to datoteko.

Shranite in zaprite to konfiguracijsko datoteko.

Zdaj moramo dodati uporabnike, ki se bodo povezali z našim strežnikom. Odprimo datoteko nano chap-secrets (uporablja se za shranjevanje računov PPP).

Za pravilno delovanje je treba upoštevati naslednjo obliko zapisa: stolpci morajo biti ločeni z vsaj enim presledkom ali tabulatorjem (Tab), presledki v imenih niso dovoljeni (sicer presledek velja za naslednji stolpec), prijava se mora začeti s črko. Na primer:

Prvi stolpec je uporabniško ime, drugi pa ime storitve. V našem primeru je to pptpd. Naslednje je uporabniško geslo, zadnje je naslov IP, ki bo izdan. Poleg tega, če obstaja *, bo naslov IP samodejno izdan iz prej določenega obsega. Določite lahko tudi naslov IP, ki je morda izven dosega.

Pred uporabo strežnika ga morate znova zagnati. Če želite to narediti, izvedite /etс/init.d/pptpd restart, če v konfiguraciji ni napak, se bo strežnik zagnal.

ro [email protected]: / etc / ppp # /etc/init.d/pptpd ponovni zagon
Ponovni zagon PPTP:
Ustavitev PPTP: pptpd.
Zagon demona PPTP: pptpd.

Če uporabljate), mu morate dodati naslednje vrstice:

# VPN - PPTPD
iptables -A INPUT -p tcp -m tcp --dport 1723 -j SPREJEM
iptables -A INPUT -p gre -m stanje --state POVEZANO, ESTABLISHED -j SPREJEM

Če želite odjemalcem VPN omogočiti dostop do interneta prek našega strežnika, morate v IPTables dodati naslednje pravilo:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Kjer je eth1 vmesnik za internet.

Za preizkus lahko ustvarite testno povezavo VPN z onemogočenim šifriranjem (izbirno) in uporabite katero koli navedeno prijavo za povezavo s strežnikom.

Pogoste napake pri povezovanju

Če želite ustvariti povezavo odjemalca PPTP iz operacijskega sistema Windows XP, izvedite naslednje korake: kliknite "Start" - "Nadzorna plošča" - "Omrežne in internetne povezave" - ​​"Omrežne povezave".

Kliknite na "Ustvari novo povezavo" - to bo zagnalo "Čarovnika za novo povezavo".

Zdaj vnesemo ime povezave. Tukaj lahko napišete karkoli, to bo samo ime povezave, na primer bomo napisali "PPTP" (po vrsti povezave).

Lahko se prikaže naslednje vprašanje "Uporabite konfigurirane internetne povezave?" (Če ste že konfigurirali povezavo PPPoE), v njej kliknite »Ne kliči«.

Če se takšno sporočilo ne prikaže, berite naprej.

Zdaj boste morali vnesti naslov strežnika, navesti IP vašega strežnika ali njegovo ime.

V oknu, prikazanem na zgornji fotografiji, izberite "Lastnosti". Prikaže se okno, v katerem izberemo zavihek "Varnost". V njem najdemo postavko "Potrebno je šifriranje podatkov" in počistimo polje. v nasprotnem primeru se ne bomo mogli povezati, pojavita se napaki 741 ali 742 - "strežnik ne podpira zahtevane vrste šifriranja."

Po tem kliknite gumb "V redu", se vrnite v prejšnje okno, vnesite svoje uporabniško ime, geslo in se povežite z našim oddaljenim strežnikom preko varnega kanala VPN!

Po preučitvi teoretičnih vprašanj v prejšnjih delih pojdimo na praktično izvajanje. Danes si bomo ogledali ustvarjanje strežnika PPTP VPN na platformi Ubuntu Server. To gradivo je namenjeno bralcem z znanjem Linuxa, zato nas ne bodo motile stvari, ki smo jih opisali v drugih člankih, kot je konfiguracija omrežja itd. Če imate težave - najprej preučite naše druge materiale.

Praktično spoznavanje VPN bomo začeli s PPTP, ki ga je najlažje implementirati. Vendar ne pozabite, da je to šibko varen protokol in ga ne smete uporabljati za dostop do kritičnih podatkov.

Razmislite o vezju, ki smo ga ustvarili v našem testnem laboratoriju za praktično seznanitev s to tehnologijo:

Imamo lokalno omrežje 10.0.0.0/24 s terminalskim strežnikom 10.0.0.2 in 10.0.0.1, ki bo deloval kot strežnik VPN, za VPN smo rezervirali omrežje 10.0.1.0/24. Vmesnik zunanjega strežnika ima pogojni namenski naslov IP X.X.X.X. Naš cilj je oddaljenim odjemalcem omogočiti dostop do terminalskega strežnika in skupnih virov na njem.

Nastavitev strežnika PPTP

Namestite paket pptpd, ki izvaja funkcionalnost PPTP VPN:

Sudo apt-get install pptpd

Zdaj pa odpremo datoteko /etc/pptpd.conf in nastavite osnovne nastavitve za strežnik VPN. Pojdimo na sam konec datoteke, kjer bomo navedli naslov strežnika v omrežju VPN:

Localip 10.0.1.1

In obseg naslovov, ki jih je treba izdati strankam:

Remoteip 10.0.1.200-250

Naslovom je treba dodeliti vsaj čim več hkratnih povezav, po možnosti z majhno rezervo, saj je njihovo povečanje brez ponovnega zagona pptpd nemogoče. Najdemo in odkomentiramo tudi vrstico:

Bcrelay eth1

To bo odjemalcem VPN omogočilo oddajanje svojih notranjih omrežnih paketov.

Uporabite lahko tudi možnosti poslušaj in hitrost, prvi vam omogoča, da določite naslov IP lokalnega vmesnika za poslušanje dohodnih povezav PPTP, drugi pa določa hitrost povezav VPN v bps. Na primer, dovolimo strežniku, da sprejema povezave PPTP samo iz zunanjega vmesnika:

Poslušaj X.X.X.X

Bolj subtilne nastavitve so v datoteki / etc / ppp / pptpd-možnosti... Privzete nastavitve so povsem skladne z našimi zahtevami, vendar bomo nekatere od njih na kratko pregledali, da boste imeli predstavo o njihovem namenu.

Oddelek #Šifriranje odgovoren za šifriranje in avtentikacijo podatkov. Te možnosti prepovedujejo uporabo starih in nevarnih protokolov PAP, CHAP in MS-CHAP:

Zavrni-pap
zavrni-chap
zavrniti-mschap

Zahtevaj-mschap-v2
Zahtevaj-mppe-128

Naslednji razdelek #Omrežje in usmerjanje, tukaj bodite pozorni na možnost ms-dns ki omogoča uporabo DNS strežnika v notranjem omrežju. To je lahko koristno, če je domenska struktura omrežja ali prisotnost strežnika DNS v njem, ki vsebuje imena vseh osebnih računalnikov v omrežju, kar omogoča sklicevanje na računalnike po njihovih imenih in ne samo po IP. V našem primeru je ta možnost neuporabna in komentirana. Podobno lahko nastavite naslov strežnika WINS z možnostjo ms-zmage.

Tukaj je možnost proxyarp, vključno s podporo za strežnike, kot lahko uganete iz imena Proxy ARP.

V razdelku #Razno vsebuje možnost zaklepanje ki odjemalca omejuje na eno povezavo.

Ivanov * 123 *
petrov * 456 10.0.1.201

Prvi vnos omogoča uporabniku ivanov, da se poveže s strežnikom z geslom 123 in mu dodeli poljuben IP naslov, drugi ustvari uporabnika petrov z geslom 456, ki mu bo ob povezavi dodeljen stalni naslov 10.0.1.201.

Ponovni zagon pptpd:

Sudo /etc/init.d/pptpd znova zaženi

Pomembna opomba! Če pptpd ne želi znova zagnati, zamrzne na začetku, ampak v / var / log / syslog dodajanje vrstice dolga vrstica konfiguracijske datoteke je prezrta ne pozabite dodati na konec datoteke /etc/pptpd.conf prelom vrstice.

Naš strežnik je pripravljen za uporabo.

Konfiguriranje odjemalskih računalnikov

Na splošno zadostuje, da konfigurirate povezavo VPN s privzetimi možnostmi. Vendar vam svetujemo, da izrecno določite vrsto povezave in onemogočite nepotrebne šifrirne protokole.

Nadalje, odvisno od strukture omrežja, morate določiti statične poti in privzeti prehod. Ta vprašanja so bila podrobno obravnavana v prejšnjih delih.

Vzpostavimo VPN povezavo in poskušamo pingati kateri koli računalnik v lokalnem omrežju, brez težav smo dobili dostop do terminalskega strežnika:

Zdaj pa še en pomemben dodatek. V večini primerov bo dostop do računalnikov v lokalnem omrežju mogoč le z naslovi IP, t.j. pot \\ 10.0.0.2 bo delovala, \\ SERVER pa ne. To je lahko neprijetno in nenavadno za uporabnike. Obstaja več načinov za rešitev te težave.

Če ima lokalno omrežje domensko strukturo, je dovolj, da navedete strežnik DNS za povezavo VPN z DNS strežnikom krmilnika domene. Uporabite možnost ms-dns v / etc / ppp / pptpd-možnosti strežnik in nastavitvene podatke bo odjemalec prejel samodejno.

Če v lokalnem omrežju ni strežnika DNS, lahko ustvarite in uporabite strežnik WINS, informacije o njem pa se lahko samodejno prenesejo na odjemalce z možnostjo ms-zmage... In končno, če je oddaljenih odjemalcev malo, uporabite datoteke na odjemalskih računalnikih gostitelji(C: \ Windows \ System32 \ gonilniki \ itd \ gostitelji), kamor bi morali dodati vrstice, kot je.